Administrer kilderne til Microsoft Defender Antivirus beskyttelsesopdateringer

Gælder for:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender Antivirus

Platforme

• Windows

Det er vigtigt at holde antivirusbeskyttelsen opdateret. Der er to komponenter til administration af beskyttelsesopdateringer til Microsoft Defender Antivirus:

• Hvor opdateringerne downloades fra og
• Når opdateringer downloades og anvendes

I denne artikel beskrives det, hvordan du angiver, hvor opdateringer skal downloades fra (denne specifikation kaldes også reserveordren). Se artiklen Administrer Microsoft Defender Antivirus-opdateringer og anvendelse af grundlinjer for at få en oversigt over, hvordan opdateringer fungerer, og hvordan du konfigurerer andre aspekter af opdateringer (f.eks. planlægning af opdateringer).

Vigtigt!

Microsoft Defender Antivirus Security Intelligence-opdateringer og platformopdateringer leveres gennem Windows Update og fra og med mandag den 21. oktober 2019 er alle sikkerhedsintelligensopdateringer SHA-2 signeret med udelt adgang. Dine enheder skal opdateres for at understøtte SHA-2 for at kunne opdatere din sikkerhedsintelligens. Du kan få mere at vide under Supportkrav til sha-2-signering af kode i 2019 for Windows og WSUS.

Reserveordre

Du konfigurerer typisk slutpunkter til individuelt at downloade opdateringer fra en primær kilde efterfulgt af andre kilder i prioriteret rækkefølge baseret på din netværkskonfiguration. Opdateringer hentes fra kilder i den rækkefølge, du angiver. Hvis opdateringer fra den aktuelle kilde er forældede, bruges den næste kilde på listen med det samme.

Når der publiceres opdateringer, anvendes logik for at minimere opdateringens størrelse. I de fleste tilfælde er det kun forskellene mellem den seneste opdatering og den opdatering, der er installeret i øjeblikket, der downloades og anvendes på enheden. Sættet af forskelle kaldes delta. Deltaets størrelse afhænger af to hovedfaktorer:

• Alderen på den seneste opdatering på enheden; og
• Den kilde, der bruges til at downloade og anvende opdateringer

Jo ældre opdateringerne på et slutpunkt er, jo større er downloaden. Du skal dog også overveje downloadfrekvens. En tidsplan for hyppigere opdateringer kan resultere i mere netværksbrug, hvorimod en mindre hyppig tidsplan kan resultere i større filstørrelser pr. download.

Der er fem steder, hvor du kan angive, hvor et slutpunkt skal hente opdateringer:

• Microsoft Update
• Windows Server Update Service (se note 1 nedenfor)
• Microsoft Endpoint Configuration Manager
• Netværksfilshare
• Opdateringer til sikkerhedsintelligens for Microsoft Defender Antivirus og anden antimalware fra Microsoft (se note 2 nedenfor)

Bemærk!

Intune intern definitionsopdateringsserver: Hvis du bruger et SUP-punkt (Software Update Point) i Microsoft Endpoint Configuration Manager til at hente definitionsopdateringer til Microsoft Defender Antivirus, og du skal have adgang til Windows Update På blokerede klientenheder kan du skifte til medadministration og aflaste arbejdsbelastningen for beskyttelse af slutpunkter til Intune. I den antimalwarepolitik, der er konfigureret i Intune, er der en indstilling for "intern definitionsopdateringsserver", som du kan angive til at bruge Windows Server Update Service (WSUS) som opdateringskilde. Denne konfiguration hjælper dig med at styre, hvilke opdateringer fra den officielle Windows Update (WU)-server der godkendes til virksomhedsorganisationer. Det hjælper også proxy og gemme netværkstrafik til den officielle Windows Opdateringer netværk. Din politik og registreringsdatabase kan have angivet dette som Microsoft Malware Protection Center (MMPC) security intelligence, dens tidligere navn.

For at sikre det bedste beskyttelsesniveau giver Microsoft Update mulighed for hurtige udgivelser, hvilket betyder, at mindre downloads hyppigt downloades. Kilderne Windows Server Update Service, Microsoft Endpoint Configuration Manager, Microsoft Security Intelligence-opdateringer og platformopdateringer leverer mindre hyppige opdateringer. Således kan delta være større, hvilket resulterer i større downloads.

Platformopdateringer og programopdateringer udgives månedligt. Sikkerhedsintelligensopdateringer leveres flere gange om dagen, men denne deltapakke indeholder ikke en programopdatering. Se Microsoft Defender Antivirus security intelligence og produktopdateringer.

Vigtigt!

Hvis du har angivet opdateringer af Microsoft Security Intelligence-siden som reservekilde efter Windows Server Update Service eller Microsoft Update, downloades opdateringer kun fra opdateringer til sikkerhedsintelligens og platform, når den aktuelle opdatering anses for at være forældet. (Som standard er det syv dage i træk, hvor opdateringer fra Windows Server-opdateringstjenesten eller Microsoft Update-tjenesterne ikke kan anvendes). Du kan dog angive antallet af dage, før beskyttelse rapporteres som forældet.

Fra mandag den 21. oktober 2019 underskrives SHA-2 udelukkende for sikkerhedsopdateringer og platformopdateringer. Enheder skal opdateres for at understøtte SHA-2 for at få de nyeste opdateringer til sikkerhedsintelligens og platformopdateringer. Du kan få mere at vide under Supportkrav til sha-2-signering af kode i 2019 for Windows og WSUS.

Hver kilde har typiske scenarier, der afhænger af, hvordan dit netværk er konfigureret, ud over hvor ofte de publicerer opdateringer, som beskrevet i følgende tabel:

Sted	Eksempelscenarie
Windows Server-opdateringstjeneste	Du bruger Windows Server Update Service til at administrere opdateringer til dit netværk.
Microsoft Update	Dine slutpunkter skal oprette direkte forbindelse til Microsoft Update. Denne indstilling er nyttig til slutpunkter, der uregelmæssigt opretter forbindelse til virksomhedsnetværket, eller hvis du ikke bruger Windows Server Update Service til at administrere dine opdateringer.
Filshare	Du har enheder, der ikke har forbindelse til internettet (f.eks. virtuelle maskiner eller VM'er). Du kan bruge din vm-vært med internetforbindelse til at downloade opdateringerne til et netværksshare, hvorfra VM'erne kan hente opdateringerne. I VDI-installationsvejledningen kan du se, hvordan filshares bruges i VDI-miljøer (Virtual Desktop Infrastructure).
Microsoft Endpoint Configuration Manager	Du bruger Microsoft Endpoint Configuration Manager til at opdatere dine slutpunkter.
Sikkerhedsintelligensopdateringer og platformopdateringer til Microsoft Defender Antivirus og anden Microsoft antimalware (tidligere kaldet MMPC)	Sørg for, at enhederne opdateres, så de understøtter SHA-2. Microsoft Defender Antivirus Sikkerhedsintelligens og platformopdateringer leveres via Windows Update. Fra og med den 21. oktober 2019 er sikkerhedsintelligensopdateringer og platformopdateringer udelukkende underskrevet af SHA-2. Download de seneste beskyttelsesopdateringer på grund af en nylig infektion eller for at hjælpe med at klargøre en stærk, grundlæggende afbildning til VDI-udrulning. Denne indstilling bør kun bruges som en endelig reservekilde og ikke som den primære kilde. Den kan kun bruges, hvis opdateringer ikke kan downloades fra Windows Server Update Service eller Microsoft Update i et angivet antal dage.

Du kan administrere den rækkefølge, som opdateringskilder bruges i med Gruppepolitik, Microsoft Endpoint Configuration Manager, PowerShell-cmdlet'er og WMI.

Vigtigt!

Hvis du angiver Windows Server Update Service som en downloadplacering, skal du godkende opdateringerne, uanset hvilken administrationsværktøj du bruger til at angive placeringen. Du kan konfigurere en automatisk godkendelsesregel med Windows Server Update Service, hvilket kan være nyttigt, når opdateringer modtages mindst én gang om dagen. Du kan få mere at vide under Synkroniser opdateringer til beskyttelse af slutpunkter i separate Windows Server Update Service.

Procedurerne i denne artikel beskriver først, hvordan du angiver rækkefølgen, og hvordan du derefter konfigurerer indstillingen Windows-filserver – filshare , hvis den er aktiveret.

Brug Gruppepolitik til at administrere opdateringsplaceringen

1. Åbn administrationskonsollen Gruppepolitik Gruppepolitik. Højreklik på det Gruppepolitik objekt, du vil konfigurere, og vælg derefter Rediger.

2. I Editor administration af Gruppepolitik skal du gå til Computerkonfiguration.

3. Vælg Politikker og derefter Administrative skabeloner.

4. Udvid træet til Windows-komponenter>Windows Defender>Signaturopdateringer.

   Bemærk!

   • For Windows 10 version 1703 op til og med 1809 er politikstien Windows-komponenter > Microsoft Defender Antivirus > Signature Opdateringer
   • For Windows 10 version 1903 er politikstien Windows-komponenter > Microsoft Defender Antivirus > Security Intelligence-Opdateringer

5. Rediger indstillingen Definer rækkefølgen af kilder til download af sikkerhedsintelligensopdateringer . Angiv indstillingen til Aktiveret.

6. Angiv rækkefølgen af kilder adskilt af en enkelt pipe, f.eks.: InternalDefinitionUpdateServer|MicrosoftUpdateServer|MMPC, som vist på følgende skærmbillede.

   

7. Vælg OK. Denne handling angiver rækkefølgen af kilder til beskyttelsesopdatering.

8. Rediger indstillingen Definer filshares til download af sikkerhedsintelligensopdateringer , og angiv derefter indstillingen til Aktiveret.

9. Angiv filsharekilden på en Windows Server. Hvis du har flere kilder, skal du angive hver kilde i den rækkefølge, de skal bruges, adskilt af en enkelt pipe. Brug UNC-standardnotation til at betegne stien. For eksempel: \\WindowsFileServer\share-name\object-name|\\host-name2\share-name\object-name.

   Hvis du ikke angiver nogen stier, springes denne kilde over, når VM'en downloader opdateringer.

10. Vælg OK. Denne handling angiver rækkefølgen af filshares, når der refereres til denne kilde i gruppepolitikindstillingen Definer rækkefølgen af kilder...

Brug Microsoft Endpoint Configuration Manager til at administrere opdateringsplaceringen

Se Konfigurer Security intelligence-Opdateringer for Endpoint Protection for at få oplysninger om konfiguration af Microsoft Endpoint Configuration Manager (aktuel forgrening).

Brug PowerShell-cmdlet'er til at administrere opdateringsplaceringen

Brug følgende PowerShell-cmdlet'er til at angive opdateringsrækkefølgen.

Set-MpPreference -SignatureFallbackOrder {LOCATION|LOCATION|LOCATION|LOCATION}
Set-MpPreference -SignatureDefinitionUpdateFileSharesSource {\\UNC SHARE PATH|\\UNC SHARE PATH}

Du kan finde flere oplysninger i følgende artikler:

• Set-MpPreference –SignatureFallbackOrder
• Set-MpPreference –SignatureDefinitionUpdateFileSharesSource
• Brug PowerShell-cmdlet'er til at konfigurere og køre Microsoft Defender Antivirus
• Defender Antivirus cmdlet'er

Brug WMI (Windows Management Instruction) til at administrere opdateringsplaceringen

Brug metoden Set for klassen MSFT_MpPreference til følgende egenskaber:

SignatureFallbackOrder
SignatureDefinitionUpdateFileSharesSource

Du kan få flere oplysninger i følgende artikler:

• Windows Defender WMIv2-API'er

Brug Mobile Enhedshåndtering (MDM) til at administrere opdateringsplaceringen

Se Politik-CSP – Defender/SignatureUpdateFallbackOrder for at få oplysninger om konfiguration af MDM.

Hvad nu, hvis vi bruger en ikke-Microsoft-leverandør?

I denne artikel beskrives det, hvordan du konfigurerer og administrerer opdateringer til Microsoft Defender Antivirus. Du kan dog hyre leverandører, der ikke er Microsoft, til at udføre disse opgaver.

Lad os f.eks. antage, at Contoso har hyret Fabrikam til at administrere deres sikkerhedsløsning, hvilket omfatter Microsoft Defender Antivirus. Fabrikam bruger typisk Windows Management Instrumentation, PowerShell-cmdlet'er eller Windows-kommandolinjen til at installere programrettelser og opdateringer.

Bemærk!

Microsoft tester ikke tredjepartsløsninger til administration af Microsoft Defender Antivirus.

Opret et UNC-share til sikkerhedsintelligens

På en Windows-filserver skal du konfigurere et netværksfilshare (UNC/tilknyttet drev) for at hente sikkerhedsintelligens fra MMPC-webstedet ved hjælp af en planlagt opgave.

1. Opret en mappe til scriptet på det system, hvor du vil klargøre sharet og downloade opdateringerne.

   Start, CMD (Run as admin)
   MD C:\Tool\PS-Scripts\
   

2. Opret en mappe til signaturopdateringer.

   MD C:\Temp\TempSigs\x64
   MD C:\Temp\TempSigs\x86
   

3. Download PowerShell-scriptet fra www.powershellgallery.com/packages/SignatureDownloadCustomTask/1.4.

4. Vælg Manuel download.

5. Vælg Download den rå nupkg-fil.

6. Udpak filen.

7. Kopiér filen SignatureDownloadCustomTask.ps1 til den mappe, du tidligere har oprettet, C:\Tool\PS-Scripts\ .

8. Brug kommandolinjen til at konfigurere den planlagte opgave.

   Bemærk!

   Der er to typer opdateringer: fuld og delta.

   • For x64 delta:

     Powershell (Run as admin)
     
     C:\Tool\PS-Scripts\
     
     ".\SignatureDownloadCustomTask.ps1 -action create -arch x64 -isDelta $true -destDir C:\Temp\TempSigs\x64 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"
     

   • For x64 fuld:

     Powershell (Run as admin)
     
     C:\Tool\PS-Scripts\
     
     ".\SignatureDownloadCustomTask.ps1 -action create -arch x64 -isDelta $false -destDir C:\Temp\TempSigs\x64 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"
     

   • For x86 delta:

     Powershell (Run as admin)
     
     C:\Tool\PS-Scripts\
     
     ".\SignatureDownloadCustomTask.ps1 -action create -arch x86 -isDelta $true -destDir C:\Temp\TempSigs\x86 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"
     

   • For x86 fuld:

     Powershell (Run as admin)
     
     C:\Tool\PS-Scripts\
     
     ".\SignatureDownloadCustomTask.ps1 -action create -arch x86 -isDelta $false -destDir C:\Temp\TempSigs\x86 -scriptPath C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1 -daysInterval 1"
     

   Bemærk!

   Når de planlagte opgaver oprettes, kan du finde disse i Opgavestyring under Microsoft\Windows\Windows Defender.

9. Kør hver opgave manuelt, og kontrollér, at du har data (mpam-d.exe, mpam-fe.exeog nis_full.exe) i følgende mapper (du kan bruge forskellige placeringer):

   • C:\Temp\TempSigs\x86
   • C:\Temp\TempSigs\x64

   Hvis den planlagte opgave mislykkes, skal du køre følgende kommandoer:

    C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x64 -isDelta $False -destDir C:\Temp\TempSigs\x64"
   
    C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x64 -isDelta $True -destDir C:\Temp\TempSigs\x64"
   
    C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x86 -isDelta $False -destDir C:\Temp\TempSigs\x86"
   
    C:\windows\system32\windowspowershell\v1.0\powershell.exe -NoProfile -executionpolicy allsigned -command "&\"C:\Tool\PS-Scripts\SignatureDownloadCustomTask.ps1\" -action run -arch x86 -isDelta $True -destDir C:\Temp\TempSigs\x86"
   

10. Opret et share, der peger på C:\Temp\TempSigs (f.eks. \\server\updates).

    Bemærk!

    Godkendte brugere skal som minimum have adgang til "Læs". Dette krav gælder også for domænecomputere, sharet og NTFS (sikkerhed).

11. Angiv delingsplaceringen i politikken til sharet.

    Bemærk!

    Tilføj ikke mappen x64 (eller x86) i stien. Processen mpcmdrun.exe tilføjer den automatisk.

Relaterede artikler

• Installer Microsoft Defender Antivirus
• Administrer Microsoft Defender Antivirus-opdateringer, og anvend grundlinjer
• Administrer opdateringer for slutpunkter, der er forældede
• Administrer begivenhedsbaserede gennemtvungne opdateringer
• Administrer opdateringer til mobilenheder og VM'er
• Microsoft Defender Antivirus i Windows 10

Tip

Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.